KR20060030993A - 정보 자산의 보안 수준 분석 방법 - Google Patents

정보 자산의 보안 수준 분석 방법 Download PDF

Info

Publication number
KR20060030993A
KR20060030993A KR1020040079857A KR20040079857A KR20060030993A KR 20060030993 A KR20060030993 A KR 20060030993A KR 1020040079857 A KR1020040079857 A KR 1020040079857A KR 20040079857 A KR20040079857 A KR 20040079857A KR 20060030993 A KR20060030993 A KR 20060030993A
Authority
KR
South Korea
Prior art keywords
risk
asset
importance
weighted average
analysis
Prior art date
Application number
KR1020040079857A
Other languages
English (en)
Inventor
박원주
정연서
서동일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040079857A priority Critical patent/KR20060030993A/ko
Priority to US11/081,501 priority patent/US7832013B2/en
Publication of KR20060030993A publication Critical patent/KR20060030993A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Software Systems (AREA)
  • Entrepreneurship & Innovation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Operations Research (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 정보 자산의 보안 수준 분석 방법에 관한 것으로 특히, 정보 자산의 보안 수준(보안상의 위험도)을 분석함에 있어서 객관적이고 정량적으로 정보 자산에 대한 위험도 관리를 효율적으로 할 수 있는 방법에 관한 것이다.
본 명세서에서 개시하는 정보 자산의 보안 수준 분석 방법은 관리적/물리적/기술적 측면에서의 위험도 분석과 중요도 평가가 이루어진 정보 자산들로부터 보안 수준 분석 대상 정보 자산을 선정하는 단계; 선정된 자산의 자산 위험도를 위험도의 가중 평균과 중요도에 따라 산정하는 단계; 및 위험도의 가중 평균과 중요도를 각각 x축, y축으로 하는 2차원 평면상에 매핑(mapping)하여 나타난 결과를 토대로 보안 조치의 우선 순위를 결정하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.

Description

정보 자산의 보안 수준 분석 방법{Method for analyzing the security grade of information property}
도 1은 본 발명의 구현의 일실시예의 흐름도이다.
도 2는 자산 중요도와 위험의 가중 평균을 변수축으로 하여 작성된 MAP의 예를 나타낸 도면이다.
[도면의 주요 부호에 대한 설명]
S11 : 위험 분석서 및 자산 분석서를 검토하는 단계
S12 : 위험도 분석 대상 자산을 선정하는 단계
S13 : 자산 위험도를 산정하는 단계
S14 : 맵(MAP)으로 구성하여 분석하는 단계
S15 : MAP 분석을 통하여 나타난 위치를 토대로 우선 순위를 결정하는 단계
본 발명은 정보 자산의 보안 수준 분석 방법에 관한 것으로 특히, 정보 자산의 보안 수준(보안상의 위험도)을 분석함에 있어서 객관적이고 정량적으로 정보 자산에 대한 위험도 관리를 효율적으로 할 수 있는 방법에 관한 것이다.
최근의 네트워크 및 통신 인프라의 급속한 발전으로, 민간 기업은 물론 공공 기관들도 정보 시스템을 적극적으로 활용도가 급속하게 높아지고 있다. 이와 관련하여 네트워크 환경 및 인터넷 상에서 발생할 수 있는 보안상의 위험이나 취약점들은 악의를 가진 내외부의 공격자들에게 악용될 가능성이 있다.
따라서, 정확한 정보 자산의 보안상 위험도를 분석하여 이러한 피해의 가능성을 사전에 파악하고, 예방할 수 있는 방안을 마련하여 최대한으로 보안성을 확보해야 할 필요성이 대두된다. 그러나, 현재는 보안 조치(safeguard)를 적용할 때 네트워크의 보안 수준이 어느 정도 되며(AS-IS), 어느 정도 보안 조치를 적용하여 보안 수준을 향상시켜야 할지(TO-BE)에 대한 정확한 판단 기준이 없는 실태이다.
지금까지 제시되거나 실시되고 있는 위험도 분석 및 취약점 분석 방식들은 기술적인 영역과 관리적, 물리적인 영역을 총괄하여 위험도를 분석하는 것이 곤란하다. 자산의 수가 많은 경우 수많은 정보 자산들에 대한 실사를 하는데 많은 시간을 소비하게 될 수 있으며, 조직에서 원하는 부분만을 따로 관리하기가 용이하지 않는 단점이 있다.
즉, 특정 기업이 기술적인 취약점을 집중관리하고 싶은데, 물리적/관리적 위험도까지 모두 집계하여 위험 분석 방법을 적용한다면 매번 집계 및 위험 분석 평가시간이 오래 걸리게 되어 즉시성이 유지될 수 없는 단점이 있으며, 특히, 정보 보안에 대한 보안 조치를 처음 적용할 경우 관리적/물리적/기술적 측면의 모든 측면에 대한 보안을 골고루 향상시켜나가기에 어려운 경우가 많다, 따라서 보안 조치를 취함에 있어서 과정(stage)별로 중요시하는 보안 영역을 지정할 수 있도록 할 필요성이 있다.
따라서 본 발명은 이와 같은 문제점의 해결 및 필요성에 부응하기 위해 창안된 것으로, 본 발명의 목적 및 이루고자 하는 기술적 과제는 정보 자산을 구성하는 시스템을 체계적으로 분석하여 보다 객관적이고 정량적인 방법을 사용하여 정보 자산에 대한 위험도 분석을 효율적으로 수행 할 수 있는 방법을 제공함에 있다.
상기와 같은 목적 및 이루고자 하는 기술적 과제를 달성하기 위하여 본 명세서에서 개시하는 정보 자산의 보안 수준 분석 방법은 관리적/물리적/기술적 측면에서의 위험도 분석과 중요도 평가가 이루어진 정보 자산들로부터 보안 수준 분석 대상 정보 자산을 선정하는 단계; 상기 선정된 자산의 자산 위험도를 상기 위험도의 가중 평균과 상기 중요도에 따라 산정하는 단계; 및 상기 위험도의 가중 평균과 중요도를 각각 x축, y축으로 하는 2차원 평면상에 매핑(mapping)하여 나타난 결과를 토대로 보안 조치의 우선 순위를 결정하는 단계를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.
이하, 본 발명의 기술적 사상을 명확화하기 위해, 본 발명의 실시예에 근거하여 그 구성 및 동작을 첨부 도면을 참조하여 상세히 설명하되 도면의 구성요소들에 참조번호를 부여함에 있어서 동일 구성요소에 대해서는 비록 다른 도면상에 있더라도 동일 참조번호를 부여하였으며 당해 도면에 대한 설명시 필요한 경우 다른 도면의 구성요소를 인용할 수 있음을 미리 밝혀둔다.
도 1은 본 발명의 구현의 일실시예의 흐름도이다.
위험 분석서 및 정보 자산 분석서를 검토하는 단계(S11)는 정보 자산의 보안 수준을 분석함에 사전에 이루어져야 할 단계로서, 위험 분석서 및 정보 자산 분석서를 근거로 관리적 측면/물리적 측면/기술적 측면상의 위험도 분석 결과로 도출된 각 자산별 관련 위험도와 자산 분석 결과에서 나타난 각 자산별 중요도를 검토하여 자산들의 목록과 각 자산별 위험 평가와 중요도 평가 내용 등을 검토, 정리한다.
표 1은 위험 분석서 및 자산 분석서에서 나타날 수 있는 항목의 일례를 제시한 도표이다.
Figure 112004045515547-PAT00001
여기서, M은 'Medium', H는 'High'를 의미한다.
표 1에 제시된 각 항목은 일반적인 항목 중의 하나의 예시일 뿐, 해당 조직 및 대상 장비에 따라 최적화된 보안 수준 측정 체크리스트로 다양한 변형이 가능하다. 또한 보안 수준의 요구사항, 장비별 특성, 장비 대수 등을 고려하여 수준 측정에 대한 접근 방법의 항목이 변경될 수 있다.
보안 수준 분석 대상 자산을 선정하는 단계(S12)는 (S11)단계에서 파악된 정보 자산 들 중에 관리적/물리적/기술적 측면에서의 위험도 분석과 자산 중요도 평가가 공통적으로 모두 수행된 자산들을 도출하여 대상 자산을 선정한다. 이러한 대상 자산의 선정과 분석을 위해서는 관리적/물리적/기술적 측면에서의 위험도 분석 시에 사전에 정보 자산 관리부서, 정보 자산 시스템의 물리적인 위치, 기술적인 점검 내용 및 취약점이 도출되어 있어야 하고 자산 별로 위험도가 (H,M,L)로 산정되어 있어야 한다. 여기서 L은 'Low'를 뜻한다.
선정된 자산을 대상으로 자산 위험도를 집계하여 산정하는 단계(S13)는 대상 자산의 관리적/물리적/기술적 측면의 위험도의 가중 평균과 자산 중요도를 자산 위험 집계 산출 공식에 따라 계산한다. 위험도의 가중 평균을 구하기 위한 공식은 위험 분석서 및 정보 자산 분석서에서 산정한 자산별 위험도(H,M,L)를 3점, 2점, 1점으로 환산하고, 관리적/물리적/기술적 측면의 가중치를 3등급으로 3점, 2점, 1점으로 산정한다. 그리고 관리적/물리적/기술적 측면 각 측면에서의 위험도와 각 가중치(W1, W2, W3)를 곱하여 각 값을 구한 후, 이들을 더해 가중치의 합(W1+W2+W3)으로 나누는 가중 평균을 사용한다. 이를 수학식으로 표현하면 다음과 같다.
위험도의 가중 평균 =
[(관리적 위험도 × W1) + (물리적 위험도 × W2) + (기술적 위험도 × W3)]/[W1+W2+W3]
각 자산별 위험도의 가중 평균에 자산 중요도를 고려하여 평가하기 위해 자 산 위험 집계(자산 위험도)를 아래의 공식을 사용하여 산정한다.
자산 위험도 = 자산별 위험의 가중 평균 × 자산별 중요도
이 때, 자산별 중요도는 1등급, 2등급, 3등급으로 평가되어 있는 것을 각각 3점, 2점, 1점으로 환산하여 자산 위험도를 구하는 공식에 적용하도록 한다.
표 2는 자산 시스템별 위험도의 가중 평균과 자산 중요도의 일례를 나타낸 도표이다.
Figure 112004045515547-PAT00002
표 1에 제시된 보안 수준 측정에 따른 분류표에 따라서 점검 항목 대상이 선정되고, 각 시스템별 위험 가중 평균이 산정된 후, 자산 중요도에 따른 결과를 표 2는 보여주고 있으며, 자산 시스템 A, B, C를 대상으로 각 시스템의 관리적/물리적/기술적 측면의 가중치를 각각 1점, 2점, 3점으로 부여하여 계산한 예시의 결과이다.
자산 중요도와 위험도의 가중 평균을 반영하여 2차원 평면상에서 맵(MAP)으로 구성하여 분석하는 단계(S14)는 자산 중요도와 관리적/물리적/기술적 위험도의 가중 평균을 변수축으로 하여 2차원 평면상에서 중요도 지수와 가중평균 위험 지수 의 매핑(mapping)을 통해 분석한다. (S13)단계에서 구해진 위험도의 가중 평균을 X축으로, 자산의 중요도를 Y축으로 하여 자산별 MAP 분석을 실시한다. 대상 시스템의 위험의 가중 평균과 자산의 중요도가 H,M,L을 기준으로 산정한다.
도 2는 자산 중요도와 위험의 가중 평균을 변수축으로 하여 작성된 MAP의 예시를 나타낸 도면으로, 표 2에 제시된 결과를 토대로, 위험의 가중 평균을 X축으로, 자산의 중요도를 Y축으로 하여 그려진 그래프의 예시이다.
MAP 분석을 통하여 나타난 위치를 토대로 보안 조치의 우선 순위를 결정하는 단계(S15)는 MAP 분석을 통해 나타나는 2차원 평면상의 위치를 토대로 자산 중요도와 위험의 가중 평균을 고려하여 2차원 평면상의 우측 상단에 위치할수록 우선 순위를 높게 설정하게 된다.
가장 우측 상단에 위치한 즉, 우선 순위가 높은 시스템은 자산의 중요도가 높은 시스템이 위험도가 높기 때문에 가장 먼저 보안 조치를 요구하는 시스템이다.
표 3은 MAP분석을 통하여 X축의 위험의 가중평균과, Y축의 자산 중요도를 곱하여 자산의 위험도를 수로 나타내고, 보안 조치 우선 순위를 결정하여 위험 분석 결과를 나타낸 결과의 일례를 나타내는 도표이다.
Figure 112004045515547-PAT00003
본 발명의 구현 과정을 요약하면, 위험 분석서와 정보 자산 분석서에 나타난 각 자산별 중요도를 검토하여 정리한 후, 자산을 선별하여 위험도 분석 대상 자산을 선정하는 단계를 거친다. 도출된 자산들의 관리적/물리적/기술적 측면의 위험도의 가중 평균과 자산 중요도로 자산 위험도를 산정한 후, 도출된 가중 평균과 자산 중요도를 축으로 하는 2차원 MAP에서 mapping을 통한 분석을 실시한다. MAP 분석 상에서 mapping된 결과를 토대로 우선 순위를 결정하는 과정을 거친다. 이 때, 모든 과정에서의 자산의 위험을 분석하고 집계를 산정할 때, 관리적/물리적 기술적인 측면을 공통적으로 다루어 자산을 분석하는 것이다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다.
그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
이상에 설명한 바와 같이 본 발명을 활용하면 각 자산에 대한 관리적/물리적/기술적 측면의 위험도와 자산 중요도를 종합적으로 반영할 수 있고, 그 결과 선정된 자산별 보안 우선 순위에 따라 조직 전반에 걸친 보안대책 구현의 방향성을 타진할 수 있다.
또한, 보안에 대한 투자 시행시, 자산 분석에서 도출된 중요 자산 등급별로 우선순위를 두어 safeguard를 적용시킴으로써 불필요한 투자를 막을 수 있다. 즉 중요한 정보가 담겨있진 않는 자산에는 상대적으로 우선 순위를 낮춤으로써 보안의 효율성과 효과성을 달성할 수 있다.
또한 대고객 서비스 장비의 경우 운영자는 주요 서비스 장비들의 운영 정책을 performance를 최우선으로 할 것인지, 보안성을 최우선으로 할 것인지 고민하게 된다. 이 때, 자산 분석과 위험 분석을 토대로 중요도가 높은 자산들이 있는 location의 경우 보안성을 우선적으로 고려한 운영 정책을 적용하며, 중요성 등급이 낮은 자산은 performance를 우선적으로 적용시켜 균형적인 시스템 관리를 할 수 있다.

Claims (5)

  1. 관리적/물리적/기술적 측면에서의 위험도 분석과 중요도 평가가 이루어진 정보 자산들로부터 보안 수준 분석 대상 정보 자산을 선정하는 단계;
    상기 선정된 자산의 자산 위험도를 상기 위험도의 가중 평균과 상기 중요도에 따라 산정하는 단계; 및
    상기 위험도의 가중 평균과 중요도를 각각 x축, y축으로 하는 2차원 평면상에 매핑(mapping)하여 나타난 결과를 토대로 보안 조치의 우선 순위를 결정하는 단계를 포함함을 특징으로 하는 정보 자산의 보안 수준 분석 방법.
  2. 제 1 항에 있어서, 상기 위험도의 가중 평균은
    상기 관리적/물리적/기술적 측면에서의 위험도 각각에 서로 다른 가중치를 부여하여 획득됨을 특징으로 하는 정보 자산의 보안 수준 분석 방법.
  3. 제 2 항에 있어서, 상기 위험도의 가중 평균은
    상기 서로 다른 가중치를 부여한 값을 더한 후, 더한 값을 상기 서로 다른 가중치의 합으로 나누어 획득됨을 특징으로 하는 정보 자산의 보안 수준 분석 방법.
  4. 제 3 항에 있어서,
    상기 선정된 자산의 자산 위험도는 상기 위험도의 가중 평균과 상기 중요도 를 곱하여 획득됨을 특징으로 하는 정보 자산의 보안 수준 분석 방법.
  5. 제 1 항 내지 제 4 항의 어느 한 항의 방법을 컴퓨터에서 판독할 수 있고, 실행 가능한 프로그램 코드로 기록한 기록 매체.
KR1020040079857A 2004-10-07 2004-10-07 정보 자산의 보안 수준 분석 방법 KR20060030993A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040079857A KR20060030993A (ko) 2004-10-07 2004-10-07 정보 자산의 보안 수준 분석 방법
US11/081,501 US7832013B2 (en) 2004-10-07 2005-03-17 Method for analyzing security grade of information property

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040079857A KR20060030993A (ko) 2004-10-07 2004-10-07 정보 자산의 보안 수준 분석 방법

Publications (1)

Publication Number Publication Date
KR20060030993A true KR20060030993A (ko) 2006-04-12

Family

ID=36146893

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040079857A KR20060030993A (ko) 2004-10-07 2004-10-07 정보 자산의 보안 수준 분석 방법

Country Status (2)

Country Link
US (1) US7832013B2 (ko)
KR (1) KR20060030993A (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8533842B1 (en) * 2008-03-07 2013-09-10 Symantec Corporation Method and apparatus for evaluating internet resources using a computer health metric
CN104572657B (zh) * 2013-10-12 2019-05-24 深圳市腾讯计算机系统有限公司 用户应用标识属性评估方法及装置
RU2562444C2 (ru) * 2013-12-27 2015-09-10 Закрытое акционерное общество "Лаборатория Касперского" Способ и система автоматического назначения политик шифрования устройствам
RU2587422C2 (ru) * 2013-12-27 2016-06-20 Закрытое акционерное общество "Лаборатория Касперского" Способ и система автоматического управления лицензиями
WO2017221299A1 (ja) * 2016-06-20 2017-12-28 三菱電機株式会社 セキュリティ対策決定装置、セキュリティ対策決定方法およびセキュリティ対策決定プログラム
CN106446941B (zh) * 2016-09-14 2019-05-24 河海大学 基于模型匹配的非常规突发事件动态优先方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5850516A (en) * 1996-12-23 1998-12-15 Schneier; Bruce Method and apparatus for analyzing information systems using stored tree database structures
US6256664B1 (en) * 1998-09-01 2001-07-03 Bigfix, Inc. Method and apparatus for computed relevance messaging
US6883101B1 (en) * 2000-02-08 2005-04-19 Harris Corporation System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules
KR20020064639A (ko) 2001-02-02 2002-08-09 정창덕 사례 기반 추론과 구조적 위험 분석을 이용한 정보보안위험 분석 방법
KR20040062735A (ko) 2003-01-03 2004-07-09 한국정보보호진흥원 정보시스템 진단방법
US7409721B2 (en) * 2003-01-21 2008-08-05 Symantac Corporation Network risk analysis
KR100968003B1 (ko) * 2003-05-17 2010-07-07 마이크로소프트 코포레이션 보안 위험을 평가하는 메카니즘

Also Published As

Publication number Publication date
US7832013B2 (en) 2010-11-09
US20060080736A1 (en) 2006-04-13

Similar Documents

Publication Publication Date Title
Baskerville et al. Integration of information systems and cybersecurity countermeasures: an exposure to risk perspective
Jacobs et al. Classification of security operation centers
KR100755000B1 (ko) 보안 위험 관리 시스템 및 방법
Goettelmann et al. A security risk assessment model for business process deployment in the cloud
Schauer et al. MITIGATE: a dynamic supply chain cyber risk assessment methodology
Maheshwari et al. Integrating risk assessment and threat modeling within SDLC process
Beckers et al. A structured comparison of security standards
Ghaffari et al. A new adaptive cyber-security capability maturity model
KR20060030993A (ko) 정보 자산의 보안 수준 분석 방법
Rizvi et al. A stakeholder-oriented assessment index for cloud security auditing
KR20040104853A (ko) 정보 자산의 위험 분석 시스템
Loloei et al. A model for asset valuation in security risk analysis regarding assets' dependencies
Eom et al. Risk assessment method based on business process-oriented asset evaluation for information system security
Tallau et al. Information security investment decisions: evaluating the balanced scorecard method
Manuja et al. Developing information security metrics and measures for risk assessment of an organization
Miloslavskaya et al. Information security management maturity models
Ochoa et al. Ransomware scenario oriented financial quantification model for the financial sector
Sadok et al. A business aware information security risk analysis method
Singh et al. Toward grading cybersecurity & resilience posture for cyber physical systems
Pleskonjic et al. Security Risk Management for Critical Infrastructures
Potter et al. The New Role of the'Next Generation'CFO
Albakri et al. Risk assessment of sharing cyber threat intelligence
Olcott Input to the Commission on Enhancing National Cybersecurity: The Impact of Security Ratings on National Cybersecurity
Attenberger Modeling Approaches for Cyber Attacks on Energy Infrastructure
Ghosh Identification and Quantification of Cybersecurity Risk by Likelihood-Severity, Incident-Response and Organizational Asset Valuation Framework

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application